Разделы

ПО Безопасность Бизнес ИТ в госсекторе Маркет

Хакеры из Северной Кореи впервые в истории напали на Россию

Исследователи безопасности раскрыли атаку на российские организации, совершенную известной северокорейской хакерской группировкой Lazarus. О том, что атака была рассчитана именно на российских пользователей, говорит характер документов Word и PDF, которые приходили жертвам по электронной почте. До этого хакеры Северной Кореи на Россию не нападали.

Первая атака Северной Кореи

Хакеры Северной Кореи впервые за всю историю исследования информационной безопасности совершили атаку на организации, которые базируются в России. Об этом сообщают специалисты компании Check Point. До этого северокорейские хакеры не атаковали Россию, поскольку страны поддерживают дружеские отношения.

Как поясняет Check Point, данная вредоносная активность регистрировалась на протяжении последних нескольких недель. «Мы впервые наблюдаем то, что выглядит как скоординированная атака Северной Кореи против российских организаций», — отмечают исследователи.

Атака была проведена группировкой Lazarus, а точнее ее «коммерческим» филиалом Bluenoroff, который осуществляет хакерские операции ради наживы. У Lazarus есть и другой филиал — Andariel — который занимается кибератаками на Южную Корею. Считается, что Bluenoroff стоит за взломом серверов Sony Pictures Entertainment в 2014 г. Им же приписывают похищение $81 млн у Центробанка Бангладеш в 2016 г. и ограбление как минимум пяти криптовалютных бирж на миллионы долларов.

Как узнали, что именно Россия

Новая атака проходила следующим образом. На компьютер пользователя присылалось электронное письмо, которое содержало вредоносные файлы PDF и Word, упакованные в ZIP-архив. Исследователи поясняют, что документы Office были разработаны явно для российских пользователей. На основании этого и было сделано заключение, что мишенями являются российские организации.

koreya600.jpg
Исследователи зафиксировали первую атаку северокорейских хакеров на российские организации

Файл PDF служил приманкой, а файл Word, содержащий макросы, являлся непосредственно вредоносным. PDF-приманка представляла собой соглашение о неразглашении информации, составленное якобы от лица российской компании StarForce Technologies (ООО «Протекшен технолоджи»), которая создает решения для защиты контента от копирования. Благодаря этому файлу все письмо выглядело более достоверным.

Вредоносное ПО

Документы Office были первым звеном вредоносной цепочки, которая в конечном счете приводила к загрузке бэкдора Keymarble, что является одним из главных доказательств причастности Lazarus к атакам. По данным компьютерной команды экстренной готовности (US-CERT) Министерства внутренней безопасности США, троян предназначен для получения удаленного доступа к данным, инструкции ему присылает удаленный сервер. В качестве механизма защиты данных и связи с сервером используется алгоритм шифрования XOR.

После получения файла Word активировались макросы, которые загружали вредоносный скрипт VBS из Dropbox URL. Затем уже сам VBS загружал файл CAB и извлекал встроенный файл EXE, то есть сам бэкдор, через утилиту Windows expand.exe, после чего бэкдор наконец-то исполнялся. Впоследствии злоумышленники упростили схему — загрузка бэкдора стала возможна непосредственно с помощью макросов в документе Word.

Как сократить время на настройку резервного копирования и повысить его надежность?
Цифовизация

Валерия Шмырова